Archives de catégorie : Piratage

Actualités liées au piratage informatique.

Cybersécurité, Entreprise, Logiciels, Particuliers, Piratage, Virus

Etude mondiale sur la sécurité de l’information

Alors que 71% des entreprises affirment avoir toute confiance dans leur système de sécurité de l’information, seules 8% d’entre elles disposent d’une organisation adaptée aux nouvelles menaces informatiques.

Selon la 15ème étude « Global State of Information Security Survey 2013 »  de PwC et CIO Magazine, la sécurité de l’information reste un enjeu majeur pour les entreprises à travers le monde. Les cyberattaques sont même plus redoutées par les dirigeants que l’éclatement de la zone euro ou les catastrophes naturelles.

2012 a ainsi vu s’accroître le nombre d’incidents dans ce domaine. 27% des dirigeants interrogés en France affirment avoir connu plus de 10 incidents de sécurité l’an passé, contre 21% en 2011.  Au total, 62% des répondants français déclarent avoir connu au moins un incident de sécurité en 2012.

Avec l’émergence de nouvelles technologies, les menaces liées à la sécurité de l’information ne cessent de croître. PwC estime à 500 milliards de dollars la fourchette basse des dépenses mondiales de sécurité dans le monde. Si les budgets des entreprises françaises sont en hausse – 45% des entreprises françaises prévoient d’augmenter leurs dépenses en sécurité de l’information (vs 41% en 2011), ils ne permettent pas de proposer une réponse adaptée à ces nouvelles menaces informatiques.

Les nouvelles technologies augmentent les risques à gérer pour les entreprises…

Cloud computing, réseaux sociaux, 3G, appareils mobiles… Les nouveaux outils technologiques se sont multipliés et complexifiés lors de ces dernières années. En effet, entre 2007 et 2011, Facebook a multiplié par 115% son nombre d’utilisateurs, quand Twitter l’a vu croître de 151% sur la même période[1]. Le cloud computing devrait continuer sa progression : le marché global du Cloud computing sera 20 fois plus important en 2020 qu’en 2008.

Avec ces nouvelles pratiques, deux nouveaux risques émergent pour les entreprises, notamment le Bring Your Own Device (BYOD), qui consiste pour les salariés à utiliser leurs outils personnels au travail, et les réseaux sociaux, sur lesquels de plus en plus de collaborateurs postent des informations concernant leur entreprise.

Et parmi les menaces les plus redoutées des dirigeants, les cyberattaques sont considérées comme le troisième scénario ayant le plus d’impact sur leur organisation, bien avant le potentiel éclatement de la zone euro ou une catastrophe naturelle, selon l’étude annuelle de PwC « CEO Survey » lancée à Davos.

… mais celles-ci ne savent pas sécuriser ces nouvelles menaces.

Si l’adoption des nouveaux outils technologiques croît de manière exponentielle, leur sécurisation est beaucoup plus lente : seules 30% des entreprises françaises interrogées possèdent une stratégie de sécurité pour le Cloud, et seules 35%  ont mis en place une stratégie de sécurité spécifique à l’utilisation des appareils personnels (BYOD).

L’enquête de PwC révèle la difficulté des entreprises à gérer l’utilisation de leurs données. Si 80% des directeurs de sécurité interrogés affirment que la protection des données de leurs clients et de leurs salariés est un enjeu important pour leur entreprise, ils ne sont que 31%  à savoir exactement où les données personnelles de leurs clients et collaborateurs sont collectées, transmises et stockées – et seulement 23% en France. Ce décalage est d’autant plus risqué que selon une étude récente[2] de PwC, 73% des consommateurs interrogés affirment être prêts à partager des informations personnelles avec des entreprises mais 87% souhaitent contrôler la quantité d’information partagée.

 « Le “combat” des entreprises pour la sécurité de l’information est devenu complètement asymétrique.  La surface d’exposition des entreprises aux attaques informatiques ne cesse de croître, et il suffit à un attaquant de trouver une faille – le maillon le plus faible dans la surface exposée –  pour pénétrer dans les systèmes d’information et dérober des informations sensibles. Les règles ont changé, et les adversaires – anciens et nouveaux – se sont armés de compétences d’experts en technologie. Les risques encourus n’ont jamais été aussi élevés pour les entreprises » explique à Datasecuritybreach.fr Philippe Trouchaud, associé PwC, spécialiste de la sécurité informatique.

Un niveau de confiance des entreprises démesuré par rapport à la faiblesse des moyens mis en œuvre

Paradoxalement, alors que les menaces n’ont jamais été aussi fortes pour les entreprises, les dirigeants interrogés restent extrêmement confiants en France et dans le monde. En 2012, 63% des sondés en France, et 71% dans le monde affirment ainsi avoir toute confiance en l’efficacité de leurs systèmes de sécurité de l’information. Or, PwC n’a identifié que 8% des entreprises interrogées comme « leader », celles ayant su s’adapter, mettre en place la stratégie et les savoir-faire adaptés pour vaincre les nouvelles menaces.

L’étude montre aussi que seules 49% des entreprises réalisent une évaluation des menaces et des vulnérabilités.

« Cette confiance des entreprises dans leur système de protection semble démesurée. » commente à Data Security Breach Philippe Trouchaud. « Etant donné l’environnement actuel de menace élevée, les entreprises ne peuvent plus se permettre de jouer à un jeu de hasard. Elles doivent s’adapter à de nouvelles règles du jeu, qui exigent des niveaux de compétences plus élevés, des outils plus performants et une nouvelle stratégie pour gagner. »

Les budgets dédiés à la sécurité de l’information sont en faible hausse

Les budgets dédiés à la sécurité de l’information augmentent en France, mais faiblement. En 2011, 41% des entreprises françaises interrogées prévoyaient d’augmenter leur budget, elles sont 45% à le prévoir en 2012. Les entreprises françaises ont ainsi rattrapé le niveau mondial, qui lui accuse un net retrait, passant de 51% de dirigeants anticipant une hausse de leur budget sécurité en 2011 à 45% en 2012. Ce recul s’explique en grande partie par le contexte économique tendu.

En effet, presque la moitié des répondants (46%) classent les conditions économiques comme le principal facteur orientant les dépenses de sécurité. En France, le poids comparatif des conditions économiques dans l’orientation des budgets est encore plus net, puisque 44% des dirigeants interrogés expliquent que leur choix budgétaire en matière de sécurité de l’information est réalisé en fonction des conditions économiques, loin devant le risque pour l’image de l’entreprise – 27%.

Méthodologie « Global State of Information Security Survey 2013

L’Enquête « Global State of Information Security Survey 2013 » sur l’état général la sécurité de l’information a été publiée par PwC, CIO magazine et CSO magazine. Elle a été réalisée via internet du 1er février 2012 au 15 avril 2012. Plus de 9 300 CEO, CFO, CISO, CIO, CSO, vice présidents, et directeurs des technologies et sécurité de l’information de 128 pays étaient invités par mail à répondre à l’enquête.

Entreprise, Logiciels, Piratage

Piratage : 1 million € en france pour 2012

L’utilisation des logiciels piratés a coûté plus d’1 million d’euros aux entreprises françaises en 2012

Les actions juridiques et judiciaires intentées par BSA | The Software Alliance ont ciblé plus d’une centaine d’entreprises de l’hexagone ; le total des réparations / indemnisations versées pour utilisation non conforme de licences logicielles dépasse le million d’euros, une somme qui correspond à environ 12% du montant global versé par les entreprises en Europe (9 millions €).

Ce montant inclut à la fois les dommages et intérêts liés aux infractions constatées, ainsi que les coûts additionnels liés à la mise en conformité du parc de logiciels des entreprises concernées se retrouvant dans l’obligation de racheter les licences logicielles pour pouvoir continuer à les utiliser.

Augmentation de 50% du nombre d’actions en 1 an !

A travers la publication de ses chiffres annuels, la BSA souhaite attirer l’attention des entreprises sur les risques juridiques et financiers ; elle veut surtout les sensibiliser à la nécessité d’une gestion rigoureuse des licences de logiciel, y compris dans une optique de rationalisation et d’optimisation des portefeuilles d’actifs logiciels.

Au final, sur 2012, le nombre d’entreprises visées a augmenté de 50% en France par rapport à l’année 2011 ; et ce coût d’utilisation de logiciels sans licence pour les entreprises en France de plus d’1 million d’euros en 2012, représente près de 12% du montant global collecté dans la zone Europe, qui s’élève pour sa part à 9 millions d’euros.

Les secteurs de l’Architecture et du Design en première ligne…

Pour bien prendre la mesure du problème, on citera à titre d’exemple le cas d’une entreprise française à qui le non-respect de la règlementation vis-à-vis des licences logicielles a coûté près de 200 000 € en 2012. Notons qu’en n’acquittant pas le coût des licences, cette société allégeait artificiellement ses charges et s’aménageait ainsi frauduleusement un avantage compétitif vis-à-vis des entreprises de son secteur d’activité.

Par ailleurs, on note que toujours en 2012, l’utilisation de logiciels sans licence a touché en premier lieu le secteur de l’Architecture et du Design avec un total de près 370 000 € ; suivent le secteur de l’Industrie (281 000 €) et celui de l’Ingénierie (180 000 €). C’est également le cas pour ce qui concerne la zone européenne avec respectivement pour ces 3 secteurs 1,162 million €, 615 400 € et 584 000 € versés.

BSA | The Software Alliance : avant tout l’éducation !

« Le piratage de logiciels expose ainsi les entreprises à des risques financiers et d’image importants, sans compter les menaces liées à la sécurité, qui peuvent s’avérer d’autant plus pénalisants en période de crise économique. Ces chiffres démontrent bien que les entreprises françaises et européennes ont encore besoin d’être informées sur les risques encourus en matière d’utilisation de logiciels illégaux », déclare ainsi François Rey, Président de la BSA en France.

« Bien entendu, certaines entreprises ne prévoient pas d’utiliser de façon intentionnelle des logiciels sans licence. Cependant, chaque société doit avoir conscience de l’importance de gérer correctement ses actifs logiciels afin de s’assurer qu’elle a le bon nombre de licences. Et justement, la BSA participe actuellement en France aux travaux de l’AFNOR visant à élaborer un guide d’application de la norme applicable en matière de Gestion des Actifs Logiciels (SAM, pour Software Asset Management) ; il s’agit de permettre aux entreprises de réduire les risques et de diminuer les coûts globaux liés à leur système d’Information », ajoute-t-il.

La BSA encourage le signalement de cas de piratage de logiciels concernant toute entreprise utilisant des logiciels sans licence, ou tout individu ou organisation vendant de façon illégale des logiciels sur Internet, par exemple. Des rapports confidentiels peuvent être effectués sur www.bsa.org. Le site web de la BSA fournit également des guides et des données qui peuvent aider les entreprises à s’assurer qu’elles agissent bien efficacement et légalement. Plus d’information et d’outils relatifs à la règlementation en matière de logiciels sont disponibles sur www.bsa.org.

Cybersécurité, Particuliers, Piratage

The Secret Files

Britney Spears, Mel Gibson, Arnold Schwarzeneger, Beyonce, Jay Z, Hulk Hogan piraté via l’infiltration d’un serveur de la société de crédit Equifax. Dans la série, j’ai une faille dans mon serveur, la société de crédit Equifax ne pouvait pas faire pire. La semaine dernière, le 11 mars, un pirate informatique a diffusé via un site créé pour l’occasion, et baptisé Exposed, les données sensibles et privés d’une quinzaine de vedettes américaines. Des peoples acteurs ou politiques comme Kim Kardashian, Donald Trump, le patron du FBI Robert Mueller, le boss de la police de Los Angeles Charlie Beck, Eric Holder l’US Attorney General, Hillary Clinton, Joe Biden, Sarah Palin, Britney Spears, Mel Gibson, Ashton Kutcher, Paris Hilton, Al Gore, Arnold Schwarzenegger, Beyonce, Jay Z ou encore Hulk Hogan. Le pirate a pu récupérer, dans ce piratage, les adresses de ces personnalités, leurs numéros de sécurité sociale, téléphones et, plus grave, les données financières. Les sociétés Equifax et TransUnion Inc Corp ont confirmé une intrusion dans leurs systèmes. Une troisième société de crédit, Experian, recherche toujours à savoir si quelqu’un était passé dans ses bits. La question est de savoir si le pirate n’est pas passé par le portail Annualcreditreport.com, via une injection SQL. Ce site regroupe les informations financières des clients des trois sociétés de crédits cités dans cet article. Le pirate, dans un dernier défit, affichait avant la fermeture de son compte Twitter et site web « Si vous croyez que Dieu fait des miracles, vous devez vous demander si Satan en a quelques-uns dans sa manche« .

Entreprise, Piratage

Eurograbber : braquage numérique à 30 millions d’euros

Ou comment une fraude aussi complexe, infectant à la fois les ordinateurs et les terminaux mobiles, a pu prendre une telle ampleur et se classer parmi les attaques les plus fructueuses à ce jour… et quelles sont les implications en matière de sécurité pour les banques et leurs clients. Par Terry Greer‐King, pour DataSecurityBreach.fr, chercheur britannique pour Check Point ayant découvert la fraude en association avec Versafe.

Dans l’histoire des braquages de banque, le vol des 30 millions € (47 millions USD) perpétré en 2012 dans le cadre de l’attaque Eurograbber se classe parmi les plus grands méfaits de tous les temps, à l’échelle mondiale. Et sachant que cette somme a été dérobée sur les comptes de plus de 30 000 clients ouverts auprès d’une trentaine de banques dans quatre pays européens, via un logiciel malveillant affectant à la fois les ordinateurs et les téléphones portables des particuliers, on peut également dire que l’on a affaire à l’un des vols lesplus complexes jamais commis au jour.

Toutefois, le plus inquiétant dans l’histoire, c’est que l’attaque Eurograbber s’est jouée du système d’authentification à deux facteurs des banques, de façon que les transactions frauduleuses leur paraissent parfaitement légitimes. C’est l’une des raisons pour lesquelles Eurograbber a pu rester en activité pendant des mois sans se faire détecter, permettant ainsi aux criminels responsables de voler toujours plus d’argent. Comment les pirates sont‐ils parvenus à mettre en oeuvre l’attaqueEurograbber ? Et comment les banques et leurs clients peuvent‐ils se prémunir à l’avenir contre ce genre de menaces ?

La réussite d’Eurograbber repose avant tout sur la connaissance approfondie qu’avaient les pirates du mode de fonctionnement des systèmes bancaires en ligne des particuliers et des entreprises. L’attaque ciblait spécifiquement la méthode d’authentification à deux facteurs consistant à envoyer un code à usage unique par SMS vers un terminal mobile, lequel était intercepté afin que les pirates puissent exploiter les données authentiques.

Une attaque menée sur deux fronts Les pirates ont procédé en deux temps. Lors de la première phase, il s’agit d’infecter l’ordinateur du client de manière transparente et de récupérer ses informations bancaires par le biais d’un e‐mail d’hameçonnage contenant un lien frauduleux ou lors de la consultation d’une page Internet malveillante.

Cette action déclenche le téléchargement, sur l’ordinateur du client, d’une version personnalisée du cheval de Troie bien connu dénommé Zeus, lequel reste inactif jusqu’à ce que le client accède à son compte bancaire. Le programme lance alors une version frauduleuse du site Web de la banque qui contient des instructions de « mise à niveau » du système bancaire en ligne de l’utilisateur. Ce dernier est alors invité à saisir de nouveau ses numéros de compte et autres renseignements bancaires, mais aussi son numéro de téléphone portable. La page demande ensuite à l’utilisateur de suivre les instructions qui vont lui être envoyées par SMS afin de finaliser la mise à niveau.

C’est la deuxième phase de l’attaque. Lorsque l’utilisateur reçoit le message, apparemment en provenance de sa banque, il a pour instruction de cliquer sur un lien hypertexte afin d’achever la « mise à niveau des services bancaires ». Or cette action déclenche le téléchargement de la version mobile du cheval de Troie Zeus (baptisée ZITMO) sur le téléphone portable. Si le modèle est compatible (Blackberry, Android ou Symbian), le terminal est infecté. Pas besoin de faux codes d’authentification de la transaction C’est ainsi que l’ordinateur et le téléphone portable de l’utilisateur sont pris pour cible. À partir de là, à chaque consultation des comptes bancaires en ligne, le programme malveillant réalise une transaction visant à transférer des fonds. L’attaque fonctionne selon le schéma suivant : le cheval de Troie sur l’ordinateur détecte l’accès au système bancaire en ligne et envoie à la banque, de façon transparente, une demande de virement vers le compte « mule » du pirate. Lorsque la banque reçoit cette requête, elle génère le code d’authentification de la transaction et l’envoie par SMS sur le téléphone portable du client, où il est intercepté par le cheval de Troie. Ce dernier extrait alors le code à partir du SMS et le renvoie à la banque pour finaliser la transaction bancaire illicite.

Les transactions frauduleuses sont complètement transparentes pour le client, étant donné qu’il ne voit pas les SMS envoyés par la banque sur son téléphone portable. Et la banque n’a aucune raison de douter de leur légitimité. Les pirates ont même configuré le programme de façon à limiter le montant des fonds transférés à chaque transaction en fonction d’un pourcentage du solde du compte, ce qui a contribué à ce que leurs méfaits passent inaperçus.

Questions relatives à la sécurité Quels enseignements peut‐on tirer de l’attaque Eurograbber sur le plan de la sécurité ? Les pirates sont effectivement parvenus à trouver la faille des méthodes d’authentification hors bande, dans le cadre desquelles un code à usage unique est créé et envoyé vers un téléphone portable — système qui s’avère relativement fréquent en Europe. Même si les banques ayant recours à d’autres méthodes d’authentification n’ont pas été inquiétées par l’attaque Eurograbber, cette dernière souligne bien qu’il est possible de mettre au point un exploit visant un système d’authentification en particulier… et que les pirates ont la patience et les ressources nécessaires pour parvenir à leurs fins. Il y a deux ans à peine, le code de la solution d’authentification à deux facteurs numéro un sur le marché avait été dérobé, la rendant ainsi vulnérable à d’éventuelles attaques. Aucune solution d’authentification n’est donc à l’abri. Cependant, cette attaque met également en lumière le rôle essentiel joué par les usagers des services bancaires en ligne sur le plan de la sécurité. Eurograbber a pris pour cible les clients, et non directement les banques. Par conséquent, pour se protéger au mieux contre d’éventuelles attaques de type Eurograbber, il convient de veiller à ce que les clients des banques en ligne se dotent d’un système de défense à jour opérant en deux points stratégiques : au niveau du réseau d’accès Internet utilisé pour consulter leurs comptes bancaires et au niveau de l’ordinateur servant à réaliser leurs opérations bancaires en ligne.

Protection des usagers Il est important de répéter aux usagers des services bancaires en ligne que les banques ne leur enverront jamais d’e‐mails non sollicités. Ils ne doivent donc pas répondre à ce type de message, car il s’agit de tentatives d’hameçonnage. Les utilisateurs sont encouragés à protéger leur ordinateur personnel à l’aide d’un logiciel antivirus à jour et d’un pare‐feu. La question du coût ne se pose pas ici : il existe des solutions gratuites, ZoneAlarm ou autres, qui assurent une protection équivalente aux meilleurs produits payants du marché. Elles sont en mesure de détecter les variantes du cheval de Troie Zeus avant qu’il ait infecté l’ordinateur de l’utilisateur. Autre mesure préventive capitale : l’installation régulière des mises à jour logicielles sur l’ordinateur, de façon à maintenir un système de sécurité aussi récent que possible. Si le cheval de Troie d’Eurograbber est déjà présent sur l’ordinateur, il tentera de se connecter à son serveur de contrôle et de commande (C&C) pour infecter sa cible et réaliser des transferts de fonds depuis le compte bancaire du client. Dans ce cas, l’installation d’un pare‐feu permettra de bloquer cette communication et la mise à jour du logiciel antivirus, suivie d’une analyse, devrait détecter l’infection et l’éliminer.

En conclusion, il n’existe pas de « solution miracle » garantissant la protection contre les cyberattaques de type Eurograbber. Il faut simplement rester constamment vigilant et s’assurer que les protocoles de sécurité mis en oeuvre par les banques et leurs clients sont les plus complets et les plus à jour possible. Ces mesures offrent la meilleure chance de contrer la prochaine tentative des cybercriminels.

Cybersécurité, Entreprise, Particuliers, Piratage

Convention entre la Cyber Police et la CNIL

Les amis du petit déjeuner et la CNIL vont coopérer pour renforcer la lutte contre la cybercriminalité. A quelques jours du Forum International de la CyberSecurité (28 & 29 janvier – Lille), le FIC 2013, l’AFP nous apprend que le ministre de l’Intérieur Manuel Valls et la ministre de l’Economie numérique Fleur Pellerin ont décidé de renforcer la lutte contre la cybercriminalité sur le territoire Français. Pour cela, une convention a été signée. Cette convention a été noircie par les « Amis du petit déjeuner » (terme inventé par zataz.com, ndlr Datasecuritybreach.fr) de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) et la Commission nationale de l’informatique et des libertés. « La Cnil et la police vont coopérer ensemble » souligne le Ministre de l’Intérieur, M. Valls. Parmi les propositions : dialogue avec les dirigeants de Twitter, Facebook et autres réseaux sociaux pouvant regrouper des « vilains ; meilleures coopérations entre les Etats et le privé ; le blocages actifs des sites illicites et quantifier et qualifier le phénomène.

Argent, Banque, Entreprise, Fuite de données, Leak

France : Le fisc peut saisir tout document informatique où qu’il soit stocké

La Cour de cassation a confirmé que le fisc pouvait saisir tous les documents informatiques qu’il trouve, alors même qu’ils ne seraient stockés sur le lieu de la perquisition. Les juges ont estimé qu’il suffisait que les fichiers utiles à l’enquête soient accessibles par le réseau depuis le lieu de la perquisition.